W trakcie konferencji SEMAFOR miałem możliwość poprowadzić prezentację pod nazwą „Cyber risk – wsparcie zarządzania firmą czy zapewnienie zgodności”.

Odbyłem także wiele ciekawych rozmów, najciekawsze wnioski zbieram poniżej.

1. Metody jakościowe dość dobrze udowadniają realizację analizy ryzyka, niemniej wyniki nie dają prostej odpowiedzi przy podejmowaniu decyzji.
2. Zalecanym podejściem jest stosowanie metod ilościowych szacowania ryzyka.
3. Stosowanie zarządzania cyberryzykiem zależy od dojrzałości firmy, im firma jest bardziej dojrzała, tym stosowane metody zarządzania ryzykiem przechodzą do bardziej zaawansowanych technik, w szczególności ilościowej analizy ryzyka.
4. Zalecanym podejściem do ilościowego szacowania ryzyka jest bazowanie na danych historycznych – np. na podstawie incydentów bezpieczeństwa.
5. Poważnie traktujmy wycenę aktywów dla których ryzyka są znaczące – wyceniajmy je biorąc pod uwagę m.in. wartość bazy danych na czarnym rynku (np. porównanie cen z wystawionych podobnych firm)
   – trudne do uzyskania informacje, wartość obniżenia kursu giełdowego, wartość utraconych korzyści przy odejściu klientów.